安全可靠的AC+FIT-AP无线局域网实验ppt课件

XXXXXXXXX实验5.4 安全可靠的AC+FIT AP无线局域网实验实验背景1 1实验目的与内容2实验设备3实验步骤4实验5.4 安全可靠的AC+FIT AP无线局域网实验实验实验背景对于中小规模网络，如何更方便地建设、部署WLAN网络成为网络建设者首要面对的问题。针对网络规模的特点，以下内容，是网络规划、建设过程中必须回答的问题。需求分析对于中小规模网络普遍存在管理能力不强的因素，客户倾向于简单、易管理的网络解决方案，对于无线部署尤其如此。业界比较一致的观点是采用集中控制管理的FIT AP部署模式来建设企业WLAN网络，即通过无线控制器和无线AP共同满足企业无线覆盖需求，有效地解决企业IT人员对AP管理的后顾之忧，并满足企业对无线话音、视频等增值业务的需要。FIT AP方案具有以下优点：（1）配置简单。AP零配置，所有的配置集中在无线交换机上完成，简单便捷。（2）维护方便。管理、维护针对无线交换机来实现，不需要对每一台AP进行操作。（3）易于升级。针对特性增加带来的软件版本升级需求，只需要对无线交换机进行操作即可，不需要对每一台无线AP单独升级。（4）安全可控。可以集中进行射频及功率、信道调整，安全访问控制等功能。（5）更易扩展。根据需要，可以灵活增加补点AP，支持三层漫游，方便扩展支持无线监控、话音应用等业务。实验背景对于中小规模网络，如何更方便地建设、部署WLAN网络实验目的与内容【实验目的】（1）掌握在AC上为无线用户进行授权的方法。（2）掌握在AC上实现负载均衡的方法。（3）掌握AC可靠性的实现方法。（4）掌握Rogue AP检测的方法。（5）掌握PSK认证的方法。【实验内容】（1）在AC上为无线用户进行授权。（2）在AC上实现负载均衡。（3）AC可靠性的实现。（4）Rogue AP检测。（5）PSK认证。实验目的与内容【实验目的】实验设备交换机一台，无线控制器三台，AP两台，带无线网卡的计算机两台，有线网卡的计算机一台，双绞线6根。网络拓扑结构如图5.11所示。图5.11 可靠的AC+FIT AP无线局域网实验拓扑结构图 实验设备交换机一台，无线控制器三台，AP两台，带无线网卡的计实验步骤1.在AC上为无线用户进行授权（1）无线控制器基于SSID方式授权。在同一个AP上设置两个SSID，如果用户连接到jsjxy属于VLAN 2，连接到jsjzx则属于VLAN 3。在WLAN-ESS接口上绑定VLAN。AC1interface WLAN-ESS 2AC1-WLAN-ESS2port access vlan 2AC1-WLAN-ESS2quitAC1interface WLAN-ESS 3AC1-WLAN-ESS3port access vlan 3AC1-WLAN-ESS3quit在无线服务模板中绑定SSID和WLAN-ESS接口。AC1wlan service-template 2 clearAC1-wlan-st-2ssid jsjxyAC1-wlan-st-2bind WLAN-ESS 2AC1-wlan-st-2service-template enableAC1-wlan-st-2quitAC1wlan service-template 3 clearAC1-wlan-st-3ssid jsjzxAC1-wlan-st-3bind WLAN-ESS 3实验步骤1.在AC上为无线用户进行授权实验步骤AC1-wlan-st-3service-template enableAC1-wlan-st-3quit（2）无线控制器基于AP方式授权。通过区分用户的VLAN属性来对用户进行VLAN授权。配置无线服务模板。AC1wlan service-template 1 clearAC1-wlan-st-1ssid jsjxyAC1-wlan-st-1bind WLAN-ESS 1AC1-wlan-st-1service-template enableAC1-wlan-st-1quit将无线服务模板与VLAN绑定应用到不同的FIT AP上。AC1wlan ap APA model WA2620E-AGNAC1-wlan-ap-APA serial-id 21023529G007C000020AC1-wlan-ap-APA radio 1AC1-wlan-ap-APA-radio-1service-template 1 vlan-id 2AC1-wlan-ap-APA-radio-1Radio enable实验步骤AC1-wlan-st-3service-tem实验步骤AC1-wlan-ap-APA-radio-1quitAC1-wlan-ap-APAquitAC1wlan ap APB model WA2620E-AGNAC1-wlan-ap-APB serial-id 21023529G007C000021AC1-wlan-ap-APB radio 1AC1-wlan-ap-APB-radio-1service-template 1 vlan-id 3AC1-wlan-ap-APB-radio-1Radio enableAC1-wlan-ap-APB-radio-1quitAC1-wlan-ap-APBquit（3）无线控制器基于MAC方式授权。通过使能MAC-VLAN，建立MAC-VLAN对应列表，以实现基于MAC的无线用户授权。配置无线接口。AC1interface WLAN-ESS 10AC1-WLAN-ESS10port link-type hybridAC1-WLAN-ESS10 port hybrid vlan 1 to 3 untaggedAC1-WLAN-ESS10 mac-vlan enableAC1-WLAN-ESS10quit实验步骤AC1-wlan-ap-APA-radio-1q实验步骤在无线控制器视图下设置。AC1mac-vlan mac-address 2222-3333-4444 vlan 2AC1mac-vlan mac-address 5555-6666-7777 vlan 32.在AC上实现负载均衡（1）基于用户会话数的负载均衡。AC1wlan rrmAC1-wlan-rrmload-balance session 5 gap 4 备注：load-balance session value gap gap-value Value为会话限制，取值范围为240；gap-value会话差值门限，取值范围为18。假如APA上已经有4个用户，APB上没有用户，这时有第5个用户试图连接APA，由于两个AP用户数量差额已经到达4，这时APA会拒绝第5个用户，最终会连接到APB上。（2）基于流量的负载均衡。AC1wlan rrmAC1-wlan-rrmload-balance traffic 10 gap 20 备注：load-balance session value gap gap-value Value:流量限制，取值范围1080，以百分比表示，实验步骤在无线控制器视图下设置。实验步骤gap-value流量差值门限，取值范围1040，以百分比表示。假设AP最大吞吐率为30M，则流量门限为：30M*10%=3M，差值门限为：30M*20%=6M，第一个用户向APA发送10M的流量，而APB空闲，这时第二个用户连接APA时由于APA既超过门限（103）又超过门限差值（106），最后第二个用户会被关联到APB上。3.AC可靠性实验（1）通过配置优先级设置接入AC的先后顺序提高可靠性。AC1wlan ap APA model WA2620E-AGNAC1-wlan-ap-APA ssid jsjxyAC1-wlan-ap-APA priority level 6AC1-wlan-ap-APAquitAC2wlan ap APA model WA2620E-AGNAC2-wlan-ap-APA ssid jsjxyAC2-wlan-ap-APA priority level 4AC2-wlan-ap-APAquit当AC1出现问题宕机时AP将自动接入到AC2，当AC1恢复后，AP再次重启后将重新接入AC1，不会实现动态负载分担。（2）通过设置AC 1+1热备份提高接入AC可靠性。实验步骤gap-value流量差值门限，取值范围1040，实验步骤在通过配置优先级设置接入AC的先后顺序提高可靠性的基础上做如下设置即可：AC1wlan backup-ac ip AC2-ip-address /AC2-ip-address是AC2的ip addressAC2wlan backup-ac ip AC1-ip-address /AC1-ip-address是AC1的ip address如果AC1和AC2上配置的策略相同，可实现负载分担功能。如果要使用心跳线建立AC 1+1快速热备份提高接入AC可靠性还要做如下设置：AC1hot-backup enableAC1hot-backup vlan vlan-idAC2hot-backup enableAC2hot-backup vlan vlan-id要保证两台AC在指定的VLAN中二层互通才能启动快速热备份检测机制。（3）N+1备份结构提供接入可靠性假设AC1、AC2和ACN组成针对APA和APB的2+备份，APA的主AC是AC1，APB的主AC是AC2，ACN作为备份AC。主AC出现问题时备份AC才会提供服务，一旦主AC恢复，相应的AP就会立即切换到主AC上而不是等到重启时才切换。AC1wlan ap APA model WA2620E-AGNAC1-wlan-ap-APA ssid jsjxy实验步骤在通过配置优先级设置接入AC的先后顺序提高可靠性的基实验步骤AC1-wlan-ap-APA priority level 7AC1-wlan-ap-APAquitAC2wlan ap APB model WA2620E-AGNAC2-wlan-ap-APB ssid jsjxyAC2-wlan-ap-APB priority level 7AC2-wlan-ap-APBquitACNwlan ap APA model WA2620E-AGNACN-wlan-ap-APA ssid jsjxyACN-wlan-ap-APA backup-ac ip AC1-ip-addressACN-wlan-ap-APA quitACNwlan ap APB model WA2620E-AGNACN-wlan-ap-APB ssid jsjxyACN-wlan-ap-APB backup-ac ip AC2-ip-addressACN-wlan-ap-APB quit实验步骤AC1-wlan-ap-APA priority实验步骤4.Rogue AP 检测功能实验AP通过交换机与AC相连，AC作为DHCP服务器为APA和Client分配IP地址，开启Rouge AP反制功能，以保证用户能通过合法的APA接入到正确的网络中，具体要求如下：Monitor AP（APB）周期性的监听无线射频接口报文；当发现Rogue AP时，Monitor AP发起反制。（1）对AC1的配置如下：配置AC1的接口创建。system-viewAC1 vlan 3 /VLAN 3及其对应的VLAN接口，并为该接口配置IP 地址AC1-vlan3 quit /AC1将使用该接口的IP 地址与AP建立LWAPP隧道。AC1 interface vlan-interface 3AC1-Vlan-interface3 ip address 192.168.1.1 255.255.255.0AC1-Vlan-interface3 quitAC1 vlan 2 /创建VLAN 2 作为ESS 接口的默认VLAN 和无线用户接入的VLANAC1-vlan2 quitAC1 interface vlan-interface 2AC1-Vlan-interface2 ip address 192.168.2.1 255.255.255.0实验步骤4.Rogue AP 检测功能实验实验步骤AC1-Vlan-interface2 quit/下面将与Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk，当前Trunk口的PVID为3，禁止VLAN1通过，允许VLAN 3和CLient使用的VLAN2通过。AC1 interface gigabitethernet 1/0/1AC1-GigabitEthernet1/0/1 port link-type trunkAC1-GigabitEthernet1/0/1 port trunk pvid vlan 3AC1-GigabitEthernet1/0/1 undo port trunk permit vlan 1AC1-GigabitEthernet1/0/1 port trunk permit vlan 3 2AC1-GigabitEthernet1/0/1 quit配置DHCP服务，配置DHCP地址池1和地址池2AC1 dhcp enableAC1 dhcp server ip-pool 1AC1-dhcp-pool-1 network 192.168.2.0 mask 255.255.255.0AC1-dhcp-pool-1 quitAC1 dhcp server ip-pool 2AC1-dhcp-pool-2 network 192.168.1.0 mask 255.255.255.0实验步骤AC1-Vlan-interface2 quit实验步骤AC1-dhcp-pool-2 quit配置无线服务AC1 interface wlan-ess 1 /创建编号为1的WLAN-ESS接口AC1-WLAN-ESS1 port link-type hybrid /配置WLAN-ESS1 接口类型为Hybrid类型/配置当前Hybrid端口的PVID为VLAN 2，禁止VLAN 1通过并允许VLAN 2不带tag通过。AC1-WLAN-ESS1 undo port hybrid vlan 1AC1-WLAN-ESS1 port hybrid vlan 2 untaggedAC1-WLAN-ESS1 port hybrid pvid vlan 2AC1-WLAN-ESS1 mac-vlan enable /使能MAC VLAN功能AC1-WLAN-ESS1 quitAC1 wlan service-template 1 clear /创建一个新的服务模板（明文模板）1AC1-wlan-st-1 ssid service1 /设置当前服务模板的SSID为service1AC1-wlan-st-1 bind wlan-ess 1 /将WLAN-ESS1接口绑定到服务模板1AC1-wlan-st-1 authentication-method open-system /认证方式为开放式系统认证AC1-wlan-st-1 service-template enable /使能服务模板AC1-wlan-st-1 quit实验步骤AC1-dhcp-pool-2 quit实验步骤配置APA为Normal模式，只提供WLAN服务/创建一个AP 管理模板，其名称为APA，型号名称为WA2620E-AGN。AC1 wlan ap APA model WA2620E-AGN/设置AP 的序列号为21023529G007C000020。AC1-wlan-ap-APA serial-id 21023529G007C000020AC1-wlan-ap-APA radio 2 type dot11g /设置radio2 的射频类型为802.11gAC1-wlan-ap-APA-radio-2 service-template 1 /将服务模板1映射到射频2AC1-wlan-ap-APA-radio-2 radio enable /启用AP 的radio 2AC1-wlan-ap-APA-radio-2 quitAC1-wlan-ap-APA quit配置APB为monitor模式AC1 wlan ap APB model WA2620E-AGNAC1-wlan-ap-APB serial-id 21023529G007C000021AC1-wlan-ap-APB work-mode monitor /配置APB的工作模式为monitor模式AC1-wlan-ap-APB radio 2AC1-wlan-ap-APB-radio-2 radio enableAC1-wlan-ap-APB-radio-2 quitAC1-wlan-ap-APB quit实验步骤配置APA为Normal模式，只提供WLAN服务实验步骤配置Rogue AP检测及反制AC1 wlan ids /进入WLAN IDS视图AC1-wlan-ids device permit ssid ss /将ss的这个SSID添加到允许SSID列表AC1-wlan-ids countermeasures enable /使能反制Rogue设备的功能AC1-wlan-ids countermeasures mode all /对攻击列表里的所有Rogue设备进行反制AC1-wlan-ids quit（2）交换机的配置如下：创建VLAN 3和VLAN 2，其中VLAN 3用于转发AC和AP间LWAPP隧道内的流量，VLAN 2为无线用户接入的VLAN。system-viewSwitch vlan 3Switch-vlan3 quitSwitch vlan 2Switch-vlan2 quit配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk，配置PVID为3，禁止VLAN1通过，允许VLAN 3通过。实验步骤配置Rogue AP检测及反制实验步骤Switch interface gigabitethernet1/0/1Switch-GigabitEthernet1/0/1 port link-type trunkSwitch-GigabitEthernet1/0/1 undo port trunk permit vlan 1Switch-GigabitEthernet1/0/1 port trunk permit vlan 3Switch-GigabitEthernet1/0/1 port trunk pvid vlan 3Switch-GigabitEthernet1/0/1 quit配置Switch与计算机相连的GigabitEthernet1/0/5接口属性为Access，并允许VLAN2通过。Switch interface gigabitethernet1/0/5Switch-GigabitEthernet1/0/5 port link-type accessSwitch-GigabitEthernet1/0/5 port access vlan 2Switch-GigabitEthernet1/0/5 quit配置Switch与APA相连的GigabitEthernet1/0/2接口属性为Access，允许VLAN3通过，并设置接口使能PoE功能。Switch interface gigabitethernet1/0/2Switch-GigabitEthernet1/0/2 port link-type accessSwitch-GigabitEthernet1/0/2 port access vlan 3实验步骤Switch interface gigabit实验步骤Switch-GigabitEthernet1/0/2 poe enableSwitch-GigabitEthernet1/0/2 quit配置Switch与APB相连的GigabitEthernet1/0/3接口属性为Access，并允许VLAN3通过，并设置接口使能PoE功能。Switch interface gigabitethernet1/0/3Switch-GigabitEthernet1/0/3 port link-type accessSwitch-GigabitEthernet1/0/3 port access vlan 3Switch-GigabitEthernet1/0/3 poe enableSwitch-GigabitEthernet1/0/3 quit5.PSK认证方式实验（1）AC1的配置如下：配置AC1的接口。/创建VLAN 3及其对应的VLAN接口，并为该接口配置IP地址。AC1将使用该接口的IP地址与AP建立LWAPP隧道。同时VLAN3为无线用户接入的VLAN system-viewAC1 vlan 3实验步骤Switch-GigabitEthernet1/0实验步骤AC1-vlan3 quitAC1 interface vlan-interface 3AC1-Vlan-interface3 ip address 192.168.1.1 24AC1-Vlan-interface3 quit/将与Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk，当前Trunk口的PVID为3，禁止VLAN1通过，允许VLAN 3通过AC1 interface gigabitethernet 1/0/1AC1-GigabitEthernet1/0/1 port link-type trunkAC1-GigabitEthernet1/0/1 port trunk pvid vlan 3AC1-GigabitEthernet1/0/1 undo port trunk permit vlan 1AC1-GigabitEthernet1/0/1 port trunk permit vlan 3AC1-GigabitEthernet1/0/1 quit配置DHCP功能。AC1 dhcp enable /全局下使能DHCP/配置DHCP地址池1为APA和Client动态分配地址网段为192.168.1.0/24，网关地址为192.168.1.1AC1 dhcp server ip-pool 1AC1-dhcp-pool-1 network 192.168.1.0 24AC1-dhcp-pool-1 gateway-list 192.168.1.1AC1-dhcp-pool-1 quit实验步骤AC1-vlan3 quit实验步骤配置端口安全。AC1 port-security enable /使能端口安全功能AC1 interface wlan-ess 1 /创建编号为1的WLAN-ESS接口AC1-WLAN-ESS1 port link-type hybrid /配置端口的链路类型为Hybrid/配置当前Hybrid端口的PVID为3，禁止VLAN 1通过并允许VLAN 3不带tag通过AC1-WLAN-ESS1 port hybrid pvid vlan 3AC1-WLAN-ESS1 undo port hybrid vlan 1AC1-WLAN-ESS1 port hybrid vlan 3 untaggedAC1-WLAN-ESS1 mac-vlan enable /使能MAC VLAN功能AC1-WLAN-ESS1 port-security port-mode psk /配置端口安全模式为PSK/在接口WLAN-ESS1下使能11key类型的密钥协商功能AC1-WLAN-ESS1 port-security tx-key-type 11key/在接口WLAN-ESS1下配置预共享密钥为12345678AC1-WLAN-ESS1 port-security preshared-key pass-phrase 12345678AC1-WLAN-ESS1 quit实验步骤配置端口安全。实验步骤配置无线服务模板。AC1 wlan service-template 1 crypto /创建crypto类型的无线服务模板1AC1-wlan-st-1 ssid jsjxy /设置当前服务模板的SSID为jsjxyAC1-wlan-st-1 bind wlan-ess 1 /将WLAN-ESS1接口绑定到服务模板1AC1-wlan-st-1 authentication-method open-system /认证方式为开放式系统认证AC1-wlan-st-1 cipher-suite tkip /使能TKIP加密套件AC1-wlan-st-1 security-ie wpa /配置信标和探查帧携带WPA IE信息AC1-wlan-st-1 service-template enable /使能服务模板AC1-wlan-st-1 quit在AC1上配置AP并绑定无线服务。/创建一个AP管理模板，其名称为APA，型号名称为WA2620E-AGNAC1 wlan ap APA model WA2620E-AGNAC1-wlan-ap-APA serial-id 21023529G007C000020AC1-wlan-ap-APA radio 1 /配置服务模板与射频1进行关联，使能AP的radio 1射频AC1-wlan-ap-APA-radio-1 service-template 1实验步骤配置无线服务模板。实验步骤AC1-wlan-ap-APA-radio-1 radio enableAC1-wlan-ap-APA-radio-1 return（2）Switch的配置如下：创建VLAN 3，用于转发AC1和APA间LWAPP隧道内的流量和无线用户的接入。system-viewSwitch vlan 3Switch-vlan3 quit配置Switch与AC1相连的GigabitEthernet1/0/1接口的属性为Trunk，禁止VLAN 1通过，配置PVID为3，允许VLAN 3通过。Switch interface gigabitethernet1/0/1Switch-GigabitEthernet1/0/1 port link-type trunkSwitch-GigabitEthernet1/0/1 undo port trunk permit vlan 1Switch-GigabitEthernet1/0/1 port trunk permit vlan 3Switch-GigabitEthernet1/0/1 port trunk pvid vlan 3Switch-GigabitEthernet1/0/1 quit实验步骤AC1-wlan-ap-APA-radio-1 实验步骤配置Switch与APA相连的GigabitEthernet1/0/2接口属性为Access，允许VLAN 3通过，并设置该接口使能PoE功能。Switch interface gigabitethernet1/0/2Switch-GigabitEthernet1/0/2 port link-type accessSwitch-GigabitEthernet1/0/2 port access vlan 3Switch-GigabitEthernet1/0/2 poe enableSwitch-GigabitEthernet1/0/2 quit实验步骤配置Switch与APA相连的GigabitEth